O documento discute os requisitos de documentação para um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001:2006. A documentação deve incluir declarações de política e objetivos do SGSI, o escopo do SGSI, procedimentos e controles, a metodologia de avaliação de riscos, o relatório de avaliação de riscos e o plano de tratamento de riscos. Além disso, a documentação deve registrar decisões da direção e assegurar que as ações sejam rastreáveis às políticas

1. Todos os direitos de cópia reservados. Não é permitida a distribuição
física ou eletrônica deste material sem a permissão expressa do autor.
Interpretação da norma
NBR ISO/IEC 27001:2006
Curso e- Learning
Sistema de
Gestão de Segurança
da Informação

2. Módulo 6
Interpretação das cláusulas
4.2 a 4.3.3 da NBR ISO/IEC 27001:2005

3. Estrutura da Norma NBR ISO/IEC 27001:2006
Sistema de Gestão da SI
Melhoria Contínua
Responsabilidade da direção
Auditorias
internas
Melhoria do
SGSI
Análise crítica do SGSI
pela direção
Entradas Saídas
4
6
7
8
5
REQUISITOS
SEGURANÇADA
INFORMAÇÃO

4. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.3 – Monitorar e revisar o SGSI
A organização deve:
a) Executar procedimentos de monitoração, análise crítica e
outros controles para:
Prontamente detectar erros nos resultados de processamentos
Prontamente identificar tentativas e violações de segurança bem
sucedidas, e incidentes de segurança da informação
Permitir à direção determinar se as atividades de segurança da
informação delegadas a pessoas ou implementadas por meio de
tecnologias de informação são executadas conforme esperado
Ajudar a detectar eventos de segurança da informação e assim
prevenir incidentes pelo uso de indicadores
Determinar se as ações tomadas para solucionar uma violação
de segurança da informação foram eficazes.
b) Realizar análises críticas regulares da eficácia do SGSI
(incluindo o atendimento da política e dos objetivos do
SGSI, e a análise crítica de controles de segurança),
levando em consideração os resultados de auditorias de
segurança da informação, incidentes, resultados da eficácia
das medições, sugestões e realimentação de todas as
partes interessadas.

5. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.3 – Monitorar e revisar o SGSI
Exemplo de análise de dados utilizando o diagrama de Pareto:
Durante a realização do produto ou do serviço, podemos documentar as não-
conformidades identificadas (por tipo de NC, por exemplo) e construir uma tabela para
determinado período. Com estas informações poderemos construir o diagrama de
Pareto como você poderá observar no próximo slide.

6. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.3 – Monitorar e revisar o SGSI
O diagrama de Pareto é uma forma
visual para percebermos melhor o
impacto de cada problema no
processo, e decidir qual não-
conformidade vamos tratar, isto é,
pesquisar as possíveis causas desta
não- conformidade e definir ações para
eliminá-las, evitando sua repetição.
Exemplo de análise de dados utilizando o diagrama de Pareto:

7. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.3 – Monitorar e revisar o SGSI
A organização deve:
c) Medir a eficácia dos controles para verificar se os requisitos de SI estão sendo
atingidos.
d) Revisar as análises/avaliações de risco a intervalos planejados e analisar
criticamente os riscos residuais e os níveis de risco aceitáveis identificados,
levando em consideração mudanças relativas a:
1) Organização
2) Tecnologias
3) Objetivos e processos do negócio
4) Ameaças identificadas
5) Eficácia dos controles implementados
6) Eventos externos, tais como mudanças nos ambientes legais ou regulamentares,
alterações das obrigações contratuais e mudanças na conjuntura social
Sempre que uma mudança ocorre, poderemos ter alteração dos ativos,
das ameaças e das vulnerabilidades, e portanto dos riscos.

8. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.3 – Monitorar e revisar o SGSI
A organização deve:
e) Conduzir auditorias internas a intervalos planejados.
Existem auditorias de primeira parte (internas), de segunda parte
(realizadas pelos clientes na organização ou pela organização em seus
fornecedores) e de terceira parte (realizadas por organismos
independentes como por exemplo uma certificadora).
f) Realizar análises críticas do SGSI pela direção em períodos
regulares, para assegurar que o escopo permanece adequado e
que são identificadas melhorias nos processos do SGSI.
Estas análises críticas são reuniões com a direção onde diversos temas
são discutidos sobre o desempenho do sistema de gestão. A ISO
27001 especifica os temas mínimos a serem discutidos, e diz que como
saída deve haver um plano de ação definido.
g) Atualizar planos de segurança da informação para levar em
consideração os resultados das atividades de monitoramento e
análise crítica.
h) Registrar ações e eventos que poderiam ter impacto no
desempenho ou na eficácia do SGSI.

9. 4.2 – Estabelecendo e gerenciando o SGSI/
4.2.4 – Manter e melhorar o SGSI
A organização deve regularmente:
a) Implementar as melhorias
identificadas para o SGSI.
b) Realizar ações corretivas e
preventivas apropriadas, e aplicar
lições aprendidas com a
experiência da própria
organização ou de outras.
c) Comunicar as ações e melhorias
para as partes interessadas com
um nível de detalhe apropriado às
circunstâncias e, se relevante,
obter a concordância sobre como
proceder.
d) Garantir que as melhorias atingem
os objetivos determinados.

10. Exercício
Indique se é verdadeiro ou falso:
1) ( ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os níveis
de risco aceitáveis devido a alterações na organização é um procedimento obrigatório.
2) ( ) As partes interessadas não necessitam ser obrigatoriamente informadas das
melhorias implementadas no SGSI.
3) ( ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente.
4) ( ) Indicadores não são uma boa maneira de prevenir incidentes de segurança.
5) ( ) Os planos de segurança da informação devem ser anualmente atualizados para
levar em consideração os resultados das atividades de monitoramento e análise crítica.
6) ( ) A organização deve identificar tentativas e violações de segurança bem sucedidas e
incidentes de segurança da informação quando da análise dos relatórios de
monitoramento.
7) ( ) Implementar programas de conscientização e treinamento é requisito obrigatório e
deve incluir todas as pessoas da organização.
8) ( ) Plano é um documento que diz o que será feito, porque, como, quando, por quem e
onde, também conhecido em inglês como 5W1H.
9) ( ) A organização precisa apenas implementar os controles selecionados para atender
aos objetivos de controle. Não é necessário que todos os controles indicados pela ISO
27001 sejam implementados.

11. Respostas
Indique se é verdadeiro ou falso:
1) ( V ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os
níveis de risco aceitáveis devido a alterações na organização é um procedimento
obrigatório.
2) ( F ) As partes interessadas não necessitam ser obrigatoriamente informadas das
melhorias implementadas no SGSI.
3) ( F ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente.
(devem ser realizadas a intervalos planejados)
4) ( F ) Indicadores não são uma boa maneira de prevenir incidentes de segurança.
(indicadores mostram as tendências, portanto orientam aumento ou redução de
ocorrências, o que permite ações para prevenir incidentes)
5) ( F ) Os planos de segurança da informação devem ser anualmente atualizados para
levar em consideração os resultados das atividades de monitoramento e análise
crítica. (devem ser atualizados sempre que necessário)

12. Respostas
6) ( F ) A organização deve identificar tentativas e violações de segurança bem sucedidas
e incidentes de segurança da informação quando da análise dos relatórios de
monitoramento. (a organização deve prontamente identificar tentativas de violação e
incidentes)
7) ( F ) Implementar programas de conscientização e treinamento é requisito obrigatório e
deve incluir todas as pessoas da organização. (deve incluir obrigatoriamente as
pessoas que têm responsabilidades atribuídas dentro do SGSI)
8) ( V ) Plano é um documento que diz o que será feito, porque, como, quando, por quem
e onde, também conhecido em inglês como 5W1H.
9) ( V ) A organização precisa apenas implementar os controles selecionados para
atender aos objetivos de controle. Não é necessário que todos os controles indicados
pela ISO 27001 sejam implementados. (mas na declaração de aplicabilidade deve ser
justificado quando um controle do Anexo A não for utilizado)

13. Estrutura da Norma NBR ISO/IEC 27001:2006
Sistema de Gestão da SI
Melhoria Contínua
Responsabilidade da direção
Auditorias
internas
Melhoria do
SGSI
Análise crítica do SGSI
pela direção
Entradas Saídas
4
6
7
8
5
REQUISITOS
SEGURANÇADA
INFORMAÇÃO

14. 4.3 – Requisitos de documentação
4.3.1 – Geral
A documentação deve incluir registros de
decisões da direção, assegurar que as ações
sejam rastreáveis às políticas e decisões da
direção, e assegurar que os resultados
registrados sejam reproduzíveis.
As reuniões de análise crítica do sistema devem
ser documentadas e o monitoramento deve ser
registrado.
É importante que se possa demonstrar a relação
dos controles selecionados com os resultados da
análise/avaliação de riscos e do processo de
tratamento de riscos, e conseqüentemente com a
política e objetivos do SGSI.
Quando elaboramos a matriz de riscos já
podemos indicar os controles e procedimentos
relacionados. Isto facilita a demonstração dos
controles selecionados com os resultados da
análise/avaliação de riscos e do processo de
tratamento de riscos.

15. Extensão da documentação do SGSI
Abrangência e detalhes da
documentação depende de:
Tamanho e
tipo da
empresa
Complexidade
dos serviços,
produtos e
processos
Requisitos de
clientes e
regulamentaresCódigos e
normas da
indústria
Educação,
experiência e
treinamento
Estabilidade
da força de
trabalho
Problemas de
segurança no
passado

16. 4.3 – Requisitos de documentação
4.3.1 – Geral
A documentação deve incluir:
a) Declarações documentadas das políticas e dos objetivos do SGSI
b) O escopo do SGSI
c) Procedimentos e controles que apóiam o SGSI
d) Uma descrição da metodologia de análise/avaliação de riscos
f) O relatório de análise/avaliação de riscos
g) O plano de tratamento de riscos
h) Procedimentos documentados requeridos pela organização para assegurar o
planejamento efetivo, a operação e o controle de seus processos de segurança da
informação, e para descrever como medir a eficácia dos controles
i) Registros requeridos pela norma
j) A declaração de aplicabilidade
A documentação deve variar devido ao tamanho da organização, tipo de atividades,
escopo e complexidade dos requisitos de segurança e do sistema gerenciado.
Quando a norma cita apenas a palavra “procedimento” significa que o procedimento
não precisa ser documentado. Se a norma disser “procedimento documentado”
significa que o procedimento realmente precisa ser documentado.

17. 4.3 – Requisitos de documentação
4.3.2 – Controle de documentos
Os documentos requeridos pelo SGSI devem ser protegidos e
controlados. Um procedimento documentado deve ser
estabelecido para definir as ações de gestão necessárias para:
Aprovar documentos para adequação antes de sua emissão
Analisar criticamente e atualizar,quando necessário, e reaprovar documentos
Assegurar que as alterações e a situação da revisão atual dos documentos sejam
identificadas
Assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis
nos locais de uso
Assegurar que os documentos permaneçam legíveis e prontamente identificáveis
Assegurar que os documentos estejam disponíveis àqueles que deles precisam e
sejam transferidos, armazenados e finalmente descartados conforme os
procedimentos aplicáveis à sua classificação
Assegurar que documentos de origem externa sejam identificados
Assegurar que a distribuição de documentos seja controlada
Prevenir o uso não intencional de documentos obsoletos
Aplicar identificação adequada nos casos em que sejam retidos para qualquer
propósito

18. Exercício
Indique se é verdadeiro ou falso:
1 - ( ) Um documento obsoleto não pode ser mantido disponível no processo.
2 - ( ) Normas não precisam ser controladas.
3 - ( ) Se o profissional de uma área levar em torno de 10 segundos para pegar um
documento, podemos dizer que o documento estava disponível.
4 - ( ) Um procedimento necessita de 3 assinaturas para indicar elaboração,
revisão e aprovação.
5 - ( ) Instruções de trabalho da produção precisam ficar na produção.
6 - ( ) A organização deve estabelecer um procedimento para controle de
documentos, mas ele não precisa ser documentado.

19. Resposta
1 - ( F ) Um documento obsoleto não pode ser mantido disponível no processo.
(é necessário que a documentação esteja claramente identificada)
2 - ( F ) Normas não precisam ser controladas.
(normas são documentos externos, e quando uma nova versão é emitida a versão anterior deve
ser recolhida)
3 - ( V ) Se o profissional de uma área levar em torno de 10 segundos para pegar um
documento, podemos dizer que o documento estava disponível.
(10 segundos é muito rápido, um documento não está disponível quando o profissional da área
não consegue localizá-lo)
4 - ( F ) Um procedimento necessita de 3 assinaturas para indicar elaboração, revisão e
aprovação.
(documentos devem ser elaborados, revisados e aprovados, mas pode ser um único profissional
a realizar todas estas atividades)
5 - ( V ) Instruções de trabalho da produção precisam ficar na produção.
(documentos devem ficar disponíveis nos locais de uso)
6 - ( F ) A organização deve estabelecer um procedimento para controle de documentos, mas
ele não precisa ser documentado.
(a norma exige um procedimento documentado)

20. 4.3 – Requisitos de documentação
4.3.3 – Controle de registros
Registros devem ser estabelecidos e mantidos para prover
evidência da conformidade aos requisitos e da operação
eficaz do SGSI.
Devem ser considerados quaisquer registros referentes a
requisitos legais ou obrigações contratuais.
Registros devem ser legíveis e prontamente identificáveis e
recuperáveis.
Controles devem ser definidos, documentados e
implementados para: identificação, armazenamento,
proteção, recuperação, tempo de retenção e disposição.
Registros devem manter informações sobre o desempenho
dos processos e de ocorrências significativas relacionadas
ao SGSI.
Exemplo de registro: livros de visitantes, relatórios de
auditoria, formulários de autorização de acesso, etc.

21. Documentação do SGSI
Procedimentos
Instruções de
trabalho,
listas,
formulários
Registros
Manual de
segurança
Nível 1
Nível 2
Nível 3
Nível 4 Fornece evidência objetiva da
conformidade às exigências do SGSI,
cláusula 4.3.3
Descreve como as tarefas e
atividades específicas são feitas
Descreve processos,
quem, o que, quando e onde,
cláusula 4.1
Política,
escopo, avaliação
de risco, declaração
de aplicabilidade

22. Exercício
Para um registro de acesso determine:
Como ele pode ser identificado
Onde ele pode ser armazenado
Como se garante que está protegido
Como pode ser recuperado, por exemplo se for
necessário apresentá-lo ao cliente
Por quanto tempo fica retido (guardado)
Como é descartado

23. Resposta
Para um registro de acesso podemos usar os seguintes controles:
Identificação: normalmente é um livro numerado com as páginas numeradas
Armazenamento: na gaveta da recepção
Proteção: a gaveta da recepção
Recuperação: basta solicitar ao recepcionista
Tempo de retenção: um ano após o término do livro
Descarte: jogado no lixo comum

24. Interpretação das cláusulas
4.2 a 4.3.3 da NBR ISO/IEC 27001:2005
Fim do módulo 6